MITコース「コンピューターシステムのセキュリティ」。 講義19：「匿名ネットワーク」パート3（Torネットワークの作成者による講義）

マサチューセッツ工科大学。 講義コース6.858。 「コンピューターシステムのセキュリティ。」 ニコライ・ゼルドヴィッチ、ジェームズ・ミケンズ。 2014年

コンピューターシステムセキュリティは、安全なコンピューターシステムの開発と実装に関するコースです。 講義では、脅威モデル、セキュリティを危険にさらす攻撃、および最近の科学的研究に基づいたセキュリティ技術を扱います。 トピックには、オペレーティングシステム（OS）セキュリティ、機能、情報フロー管理、言語セキュリティ、ネットワークプロトコル、ハードウェアセキュリティ、およびWebアプリケーションセキュリティが含まれます。



講義1：「はじめに：脅威モデル」 パート1 / パート2 / パート3

講義2：「ハッカー攻撃の制御」 パート1 / パート2 / パート3

講義3：「バッファオーバーフロー：エクスプロイトと保護」 パート1 / パート2 / パート3

講義4：「特権の共有」 パート1 / パート2 / パート3

講義5：「セキュリティシステムはどこから来たのか？」 パート1 / パート2

講義6：「機会」 パート1 / パート2 / パート3

講義7：「ネイティブクライアントサンドボックス」 パート1 / パート2 / パート3

講義8：「ネットワークセキュリティモデル」 パート1 / パート2 / パート3

講義9：「Webアプリケーションのセキュリティ」 パート1 / パート2 / パート3

講義10：「シンボリック実行」 パート1 / パート2 / パート3

講義11：「Ur / Webプログラミング言語」 パート1 / パート2 / パート3

講義12：ネットワークセキュリティパート1 / パート2 / パート3

講義13：「ネットワークプロトコル」 パート1 / パート2 / パート3

講義14：「SSLおよびHTTPS」 パート1 / パート2 / パート3

講義15：「医療ソフトウェア」 パート1 / パート2 / パート3

講義16：「サイドチャネル攻撃」 パート1 / パート2 / パート3

講義17：「ユーザー認証」 パート1 / パート2 / パート3

講義18：「インターネットのプライベートブラウジング」 パート1 / パート2 / パート3

講義19：「匿名ネットワーク」 パート1 / パート2 / パート3



ベイズ確率を使用して、次のように主張するとします。「裁判所は、この男が悪いOPSECのせいで逮捕されたという証拠を整理したでしょうか？ はい、彼らはしました。 つまり、インターネット運用の情報セキュリティに違反したために彼が逮捕されたという報告が必要です。」 したがって、「二重設計」の場合、この種の証拠は通常の警察の調査で入手可能であり、情報から得られた情報に言及することなく、悪意のあるOPSECに巻き込まれたという報告が必要です。



公の報告書からこのケースについて結論を出すことはできませんが、この男はOPSECルールを遵守していないために拘束されたようです。つまり、あなたが探しているもの、違法なことに従事している人を捕まえようとしているためです。 したがって、前述したように、法律を破るためにネットワークを使用しないでください。 また、あなたの人生や自由がTorや他のセキュリティ製品の使用に依存している場合、これらの製品を単独で使用しないでください。







生命や自由が危ぶまれている場合、またはシステムの崩壊が完全に受け入れられない場合は、複数の防衛線を作成することを検討してください。 これは、Tor、TLS、およびPGPに当てはまります。 ソフトウェアは開発中です。

インターネットでの虐待について私が言いたかったのはそれだけです。 隠されたサービスのために25分残っています。



回答者の匿名性は、開始者の匿名性よりもはるかに複雑な問題です。 イニシエーターの匿名性は、アリスが靴下を購入したいときに得られるものですが、同時に靴下の売り手には匿名のままです。



回答者の匿名性は、アリスが詩をインターネットに公開し、詩でWebサーバーを起動したいが、詩がとても恥ずかしいので、誰もこのWebサーバーがどこにあるかを知りたくない場合です。 はい、実際、私の悪い詩には隠されたサービスがあります。 いいえ、誰かがすでにそれらを公開しているとは思いません。 いいえ、私は彼がどこにいるのか誰にも言わないつもりです。 公開されるのを待っています。



アリスが自分の詩を公開したいとします。 彼女が回答者であるため、私は彼女を右に置きます。 アリスは道を切り開くことができます-このスパイラルラインはいくつかのリピーターを示しています-Torネットワークに、ここではこのRに、「これらの接続を受け入れてください！」 そのため、このリピーターに接続する人は誰でも、アリスと話したいと言うことができます。 そのように機能するプロジェクトがありました。







ただし、いくつかの問題があります。 1つの問題は、このリピーターが中間の人間になる可能性があり、既知のTLSキーがここにない場合、すべてのトラフィックを傍受することです。 2番目の問題は、このリピーターが詩にも恥ずかしがり屋で、詩の公的な流通業者になりたくない人が所有していることです。



また、Rリレーを所有し、詩を嫌い、この化合物を検閲したい他の人からも影響を受ける可能性があります。 最後に、このRリレーは単純に攻撃の標的になります。



したがって、Aliceには常に異なるリレーを切り替えてもらい、そのうちの1つが暗号化されていないトラフィックに影響を与えないようにする必要があります。 それはかなり実行可能です。

しかし、多くの異なるリピーターがある場合、アリスは人々に何を言わなければなりませんか？ ネットワークにアクセスするだけの場合、「リレーX、リレーY、リレーZ」のように、公開キーのようなものがあるはずです。ネットワークは5分ごとに変化し、正しく機能するため、リレーは非常に困難です。



彼女がネットワークのすべての参加者に公開鍵を伝え、彼女がここに来たときに、「これはアリスです。公開鍵で証明します」と言います。 したがって、Rは、PKz公開キーが特定の隠されたサービス-アリスの詩を起動することを知っています。 したがって、他の誰かが「ねえ、私を公開キーZに接続してください」と言ったら、共有キーを使用してアリスと握手できます。 これは、Torチェーンで使用されるものと同じハンドシェイクです。



これで、BobはTorネットワークを介して別の接続を確立することで、アリスの詩を読むことができます。 PKzキーを知っているボブは、リピーターに「ねえ、このPKzでアリスに接続してください」と伝えることができます。 リレーがジョイントハンドシェイクを繰り返した後、BobとAliceは共通キーを取得し、接続全体で暗号化するために使用できます。







私が見逃したものがあります。つまり、ボブはどうやってここに着くかを知っていますか？ このリピーターはどのようにPKz公開鍵を認識しますか？ アリスが匿名で、PKzがTor経由でリレーX上にあることを示す署名付きステートメントをダウンロードするシステムにディレクトリシステムを追加できます。この場合、ボブはディレクトリシステムに、PKzに関するこの署名済みステートメントを提供するように依頼します。行く さらに改善することができます-アリスに別の公開鍵を提供させ、それをPKwと呼び、彼女がディレクトリにアップロードし、公開鍵サービスZと通信したい場合は、Rxリレーに行く必要があるというアプリケーションを呼び出します公開鍵Wを使用する







この場合、公開キーZはリレーRxで公開されません。 先に進み、アリスとボブに知られているある種の共通の秘密で式（Rx、PKw）を暗号化することができます。 これを行うと、ディレクトリサービスおよびディレクトリサービスに連絡できるユーザーは、このPKzキーを使用してアリスに接続する方法を学習できなくなります。



学生：暗号化されていない場合、RxリピーターはAliceのサービスを開始することがわかりますよね？



ニック・マシューソン：いいえ、アリスのためではありません。 この式が暗号化されていない場合にのみ、PKzキーを使用していることがわかります。 そのようなシステムをどのように作成するかを決定しましたが、まだ構築されていませんが、クールです。



このために集中ディレクトリを使用したくないと仮定します。 この場合、実際には理想的ではなく検閲の対象となるDHTを使用しますが、検閲を使用する可能性をますます少なくしようとしています。 これについてはもう少し話せますが、残りのトピックをカバーする時間がないのではないかと思います。



別の問題があります。これらのサービスディレクトリのいずれかを使用し、キーの完全なリストがある場合、接続を暗号化していないすべてのユーザーに接続して、そこにあるものを見つけることができます。 これは、列挙攻撃、または「列挙攻撃」と呼ばれます。 新聞でこれについて言及しなかったのは、それが気にならないからではなく、まだそのような攻撃に耐える準備ができていないからです。



2014年に、アリスとボブがPKzキーを共有するソリューションを見つけることを望みますが、この表現（Rx、PKw）はPKzキーで署名されません。 PKzから派生したPKz ¹と、たとえば日付によって署名されます。



PKz ^1- > PKz、日付



PKzと日付がわかっている場合は、PKz ¹を取得できます。 アリスとしてSKzの秘密を知っている場合、PKz ¹によって署名されたメッセージを作成できます。







ただし、PKz ¹のみが表示され、日付がわかっていても、PKzを再受信することはできません。 このソリューションの可能性を示す証拠があります。どのように機能するかを知りたい場合は、私に手紙を書いてください。 これはクールなトリックです。 このアイデアを思いついたのは私たちが初めてではありませんでした。 しかし、このソリューションの実用的な実装の時間を本当に見つけた場合、これが今年の列挙攻撃の問題を解決する方法です。 隠されたサービスについては以上です。



攻撃と防御の問題を検討してください。 これまでのところ、私たちが見た攻撃の最大のカテゴリは、アプリケーションレベルの攻撃です。 Torを介してアプリケーションを実行し、通常のHTTP接続のように暗号化されていないトラフィックを送信すると、HTTP接続を許可する他のノードと同様に、悪意のある出口点ノードがこのトラフィックを監視および変更できます。 これは、システムの攻撃番号1です。 暗号化されたトラフィックを使用して抵抗できます。



幸いなことに、ここ数年で暗号化が増加しており、1日か2日前にEFF、Mozilla、Ciscoが報告した優れた無料の認証局によって暗号化されているトラフィックが増えています。 2015年には、暗号化されていないトラフィックが今年よりも少なくなることを願っています。 したがって、このアプローチはこの問題を解決します。



より興味深い攻撃には、トラフィックのタグ付けやトラフィックのタグ付けなどがあります。 以前の整合性チェックの実装に誤りがありました。 整合性チェックの初期の実装は、アリスのプログラムと出口点ノードの間のセクションで整合性チェックで終了しましたが、これでは不十分であることがわかりました。 最初のリレーR1が出口ポイントノードを検出できるパターンを作成するような方法でトラフィックを「混乱させる」場合、最初と最後のリレーでは、同じチェーン内の同じ共通パス上にあることを特定し、特定する方法として機能するためアリス。



もちろん、最初と最後のリレーが何らかの形で協力する場合、いずれにせよトラフィックを比較することでアリスを決定できますが、それは彼らにとって簡単ではないことを願っています、そして時間の経過とともにトラフィックを相関させるプロセスは私たちが考えるより複雑になります。

実際、この種の攻撃を完全に終わらせることは良いことです。 このために、2つのソリューションがあります。 このような攻撃の予想される結果の1つは、チェーンの定期的な障害です。これは、最初のハブの攻撃者が最後のハブの制御に関してミスを犯したためです。



したがって、各Torクライアントは奇妙な直帰率をチェックします。 問題に対する効果的な長期的解決策は、最初のハブのテンプレートに関する「大騒ぎ」が最後のハブで1ビット以上の情報を作成しないようにすることです。 最初のハブは常に単純に接続を切断できるため、1ビットの情報の送信を避けることはできませんが、この情報を1ビットに制限できます。 または、データを破損するか接続を切断するかを選択できるため、最高2ビットまでです。 これをどのように行うのが最善かを考えていたので、この問題について考えます。



サービス拒否（DOS）も重要です。 昨年、著者が「狙撃攻撃」と呼んだものに関する記事がありました。 あなたが制御していないTorノードからのトラフィックを見るため、このノードから全員を追い出したいです。 これを行うには、このノードに接続し、そのメモリのすべてのバッファーをオーバーフローさせ、「クラッシュ」させます。 その後、関心のあるトラフィックを制御するノードにリダイレクトし、制御されていないノードに該当する場合は、目的の結果が得られるまでこの手法を数回繰り返します。



私たちの最善のソリューションは、メモリに対するDOS攻撃の可能性を排除することを目的としており、パッチはこの可能性を事実上排除しました。 この種の問題を解決するためのもう1つのオプションは、リピーターのメモリ容量が大きいことを確認することです。 したがって、ネットワークで小容量のリピーターを使用しないでください。 また、これを行っています-あなたがあなたの電話でTorサイトを始めようとすると、それは認可を受けず、信頼できるサイトのリストに含まれません。



また、チェーンプランニングアルゴリズムの開発も試みていますが、制御できないノードのネットワーク図を開発することは非常に難しいため、現時点ではこれは未解決の問題です。



どちらが良いか教えてください-興味深い攻撃や重要な攻撃について教えてください？



学生：面白いものについて！



ニック・マシューソン：良い。 次に、暗号化を使用するプログラムを作成したい人は手を挙げてください。 まあ、それはあなたが学ばなければならないことです！ しかし、暗号化の実装を決して信用しないでください。 これが正しい場合でも、まだ間違っています。 かなり前に、最悪のセキュリティエラーの1つがありました。 Diffie-Hellmanアルゴリズムの正しい実装では、入力の1つとして0が渡されたかどうかをチェックすると想定したため、各リレーはノードチェーンの「中間者」になる可能性があると考えました。







Diffie-Hellman実装の作成者は、適切なアプリケーションがゼロのDiffie-Hellman実装を決して渡さないことを示唆しました。



正しいDiffie-Hellmanアルゴリズムはどのように機能しますか？ 私がg ^xを持ち、あなたがg ^yを持っているとします。 私はXを知っています、あなたはYを知っています、そして私たちは両方ともg ^xyを計算できます。 しかし、代わりに「中間の男」が私のg値をゼロに置き換えた場合、0 ^xを計算し、0 ^yを計算すると、同じキーを持ち、簡単に相互に通信できますが、これは攻撃者が知っているキーになります。それは何ですか0



ユニットが機能し、Pも機能し、P + 1も機能します。 したがって、z sub pの形式でDiffie-Hellmanアルゴリズムを実装する場合、g ^xおよびg ^yの値が2〜P-1の範囲にあることを確認する必要があります。



検閲についてもっと話したいです。 結局のところ、これは私たちが最大限の利益を上げることができる分野の1つです。 最初は、TorをHTTPSを介してWebサーバーと通信するWebクライアントのように見せ、ブロックを困難にすることを考えました。 それは非常に難しく、おそらくそれだけの価値はないことがわかりました。

現在、報告されていないリピーターをブリッジとして使用できるさまざまなプラグインを使用したアプローチを使用しており、ユーザーはこのスキームをさまざまなトラフィック変換に使用できます。 検閲者がブロックを認識するよりも早く、新しいリピーターがネットワークに追加されるようにします。







実際、これは、どのソリューションも明確に実行可能でない場合です。 そのように考えを定式化していないと思います。 これらのプラグインはいずれも、最新のテクノロジーによって本質的にブロックされていないと言う方が正しいでしょうが、ほとんどの国では1-2年、中国では6-7か月間、トラフィックのロックを解除するのに十分です。



現在、中国には世界で最も有能な検閲機関があります。これは主にアウトソーシングを使用していないためです。 積極的なインターネット検閲を行う他のほとんどの国は、検閲機能をヨーロッパ、アメリカ、およびアジアの企業に移管します。これらの企業の関心は、効果的なインターネット検閲ソフトウェアを実際に販売することではなく、顧客に常に更新レースに参加させることです。



たとえば、検閲済みのソフトウェアを米国で購入できます。 技術的に言えば、米国企業は第三国向けの検閲プログラムを作成することは許可されていませんが、米国では1,000万人のユーザーに対応する企業ファイアウォールを開発しています。 これは非倫理的だと思いますが、繰り返しますが、私は政治団体のメンバーではなく、哲学者でもありません。



Torの作者の一人であるポール・サイバーソンは哲学の学位を持っていますが、彼でさえこれらの質問に答えることはできません。 しかし、彼はそれらに答えないために多くの時間を費やします。

だからどこで止めたの？ 90分は長い時間です。 検閲！ そのため、Torはさまざまな開発者の検閲を繰り返し回避しています。 彼らはTorの最新バージョンをブロックしようとしますが、同時にかなり弱いブロックを行います。 したがって、同じノード識別子のどこかで1ビットを変更すると、そのようなロックを簡単にバイパスできます。



Torがロックをバイパスすることを具体的に証明することはできません。つまり、動作しないブロッキングプログラムを販売し、後で更新プログラムを次々に販売できることを証明できません。 しかし、私たちにはそのように思えます。 そのため、検閲プロバイダーで働かない別の理由は、それが非常に非倫理的であるだけでなく、十分なソフトウェアを提供していないということです。



, , , . , , . , «» – , , .



, – . Tor — , . , , . freehaven.net/anonbib/ , .



I2P, Gnunet, Freedom — «», , , Mixmaster, Mixminion, Sphynx Y, Sphinx I – - , DC-net, DC-net . , . , Tor — , , .

— . , — , , , , — , , . . , . , , , , , . , : « , ». , 10 , .







, Tor. , :



PKz ¹ → PKz, Date



, , . , , .



. 2003 RSA-1024, . RSA-1024 Ed25519. , , .



path selection, . 5-6 , . .



, - . , , , , - . , - - , 2015 . - – , !



, . , . . 10 20 . , , , 100 , - .



, , , . — , .

, , 100 – - . , , , - .







- , . , , , , .

, , .



- , , - , . : «, , !». , 2 , 6. , , , - .



, , , . «», , - , . , , , - .



, . ? いや？ , . , . , 12:25, . . , , !





コースの完全版はこちらから入手できます 。



ご滞在いただきありがとうございます。 私たちの記事が好きですか？ より興味深い資料を見たいですか？ 注文するか、友人に推薦することで、私たちをサポートします。私たちがあなたのために発明したエントリーレベルのサーバーのユニークなアナログのHabrユーザーのために30％の割引： VPS（KVM）E5-2650 v4（6コア）についての真実20ドルまたはサーバーを分割する方法？ （オプションはRAID1およびRAID10、最大24コア、最大40GB DDR4で利用可能です）。



VPS（KVM）E5-2650 v4（6コア）10GB DDR4 240GB SSD 1Gbpsまで1か月間無料で6か月の期間をお支払いの場合は、こちらで注文できます。



Dell R730xdは2倍安いですか？ オランダと米国で249ドルからIntel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TVを2台持っているだけです！ インフラストラクチャビルの構築方法について読んでください。 クラスRは、1米ドルで9,000ユーロのDell R730xd E5-2650 v4サーバーを使用していますか？